安全小白成长记
2
信息安全等级高级测评师
CISP-PTE
官方采纳
安全小白成长记2
信息安全等级高级测评师
CISP-PTE
Web应用程序逻辑缺陷就是以及几种应用程序核心组件互操作方面的极其复杂的漏洞,一般来说是程序开发者粗心大意或者多个系统之间配合不好导致逻辑出现问题从而被攻击者攻击。
Web应用程序中的逻辑缺陷各不相同。它们包括代码中的简单错误,以及几种应用程序核心组件互操作方面的极其复杂的漏洞。有时候,这些缺陷非常明显,很容易发现;但是,有些缺陷可能极其微妙,能够避开最为严格的代码审查或渗透测试。
与SQL注入或跨站点脚本漏洞不同,逻辑缺陷没有共有的“签名”。当然,定义特性是指应用程序执行的逻辑存在某种缺陷。许多时候,逻辑缺陷表现为设计者或开发者在思考过程中做出的特殊假设存在明显或隐含的错误。简单来讲,程序员可能这样认为:“如果发生A,就一定会出现B,因此我执行C。”他们并不会提出截然不同的问题:“如果发生X会怎样?”因而没有考虑到假设以外的情形。在许多情况下,这种错误的假设会造成大量的安全漏洞。
近些年来,人们防范常见Web应用程序漏洞的意识已经增强,一些漏洞的出现几率与严重程度也显著降低。然而,鉴于逻辑缺陷的本质,即使是实施安全开发标准、使用代码审查工具或常规渗透测试,我们仍然无法避免这种缺陷。逻辑缺陷的多样性本质,以及探查与防止它们往往需要从各个不同的角度思考问题,预示着在很长一段时期内,逻辑缺陷仍将大量存在。因此,精明的攻击者会特别注意目标应用程序采用的逻辑方式,设法了解设计者与开发者做出的可能假设,然后考虑如何攻破这些假设。
房乐
2
CISAW
CISP-PTE
官方采纳
房乐2
CISAW
CISP-PTE
Web应用程序逻辑缺陷就是以及几种应用程序核心组件互操作方面的极其复杂的漏洞,一般来说是程序开发者粗心大意或者多个系统之间配合不好导致逻辑出现问题从而被攻击者攻击。Web应用程序中的逻辑缺陷各不相同。它们包括代码中的简单错误,以及几种应用程序核心组件互操作方面的极其复杂的漏洞。有时候,这些缺陷非常明显,很容易发现;但是,有些缺陷可能极其微妙,能够避开最为严格的代码审查或渗透测试。
Web 浏览器安全技术有以下这些:
安全配置Web服务器:充分利用Web服务器本身拥有的如主目录权限设定、用户访问控制、IP地址许可等安全机制,进行合理的有效的配置,确保Web服务的访问安全。
网页防篡改技术:将网页监控与恢复结合在一起,通过对网站的页面进行实时监控,击动发现网页页面内容是否被非法改动,一旦发现被非法篡改,可立恢复被篡改的网页。
反向代理技术:当外网用户访问网站时,采用代理与缓存技术,使得访问的是反向代理系统,无法直接访问Web服务器系统,因此也无法对Web服务器实施攻击。反向代理系统会分析用户的请求,以确定是直接从本地缓存中提取结果,还是把请求转发到Web服务器。由于代理服务器上不需要处理复杂的业务逻辑,代理服务器本身被入侵的机会几乎为零。
蜜罐技术:蜜罐系统通过模拟Web服务器的行为,可以判别访问是否对应用服务器及后台数据库系统有害,能有效地防范各种已知及未知的攻击行为。对于通常的网站或邮件服务器。攻击流量通常会被合法流量所淹没。出对店而蜜罐进出的数据大部分是攻击流量。因而,浏览数据、查明攻击者的实际行为也就容易多了。
推荐文章
